木馬電腦病毒介紹
“木馬”程序是目前比較流行的病毒文件,與一般的病毒不同,它不會(huì)自我繁殖,也并不“刻意”地去感染其他文件,下面由學(xué)習(xí)啦小編給你做出詳細(xì)的木馬電腦病毒介紹!希望對(duì)你有幫助!歡迎回訪(fǎng)學(xué)習(xí)啦網(wǎng)站,謝謝!
木馬電腦病毒介紹:
它通過(guò)將自身偽裝吸引用戶(hù)下載執(zhí)行,向施種木馬者提供打開(kāi)被種者電腦的門(mén)戶(hù),使施種者可以任意毀壞、竊取被種者的文件,甚至遠(yuǎn)程操控被種者的電腦。“木馬”與計(jì)算機(jī)網(wǎng)絡(luò)中常常要用到的遠(yuǎn)程控制軟件有些相似,但由于遠(yuǎn)程控制軟件是“善意”的控制,因此通常不具有隱蔽性;“木馬”則完全相反,木馬要達(dá)到的是“偷竊”性的遠(yuǎn)程控制,如果沒(méi)有很強(qiáng)的隱蔽性的話(huà),那就是“毫無(wú)價(jià)值”的。
一個(gè)完整的“木馬”程序包含了兩部分:“服務(wù)器”和“控制器”。植入被種者電腦的是“服務(wù)器”部分,而所謂的“黑客”正是利用“控制器”進(jìn)入運(yùn)行了“服務(wù)器”的電腦。運(yùn)行了木馬程序的“服務(wù)器”以后,被種者的電腦就會(huì)有一個(gè)或幾個(gè)端口被打開(kāi),使黑客可以利用這些打開(kāi)的端口進(jìn)入電腦系統(tǒng),安全和個(gè)人隱私也就全無(wú)保障了!
病毒是附著于程序或文件中的一段計(jì)算機(jī)代碼,它可在計(jì)算機(jī)之間傳播。它一邊傳播一邊感染計(jì)算機(jī)。病毒可損壞軟件、硬件和文件。
病毒 (n.):以自我復(fù)制為明確目的編寫(xiě)的代碼。病毒附著于宿主程序,然后試圖在計(jì)算機(jī)之間傳播。它可能損壞硬件、軟件和信息。
與人體病毒按嚴(yán)重性分類(lèi)(從 Ebola 病毒到普通的流感病毒)一樣,計(jì)算機(jī)病毒也有輕重之分,輕者僅產(chǎn)生一些干擾,重者徹底摧毀設(shè)備。令人欣慰的是,在沒(méi)有人員操作的情況下,真正的病毒不會(huì)傳播。必須通過(guò)某個(gè)人共享文件和發(fā)送電子郵件來(lái)將它一起移動(dòng)。
“木馬”全稱(chēng)是“特洛伊木馬(TrojanHorse)”,原指古希臘士兵藏在木馬內(nèi)進(jìn)入敵方城市從而占領(lǐng)敵方城市的故事。在Internet上,“特洛伊木馬”指一些程序設(shè)計(jì)人員(或居心不良的馬夫)在其可從網(wǎng)絡(luò)上下載(Download)的應(yīng)用程序或游戲外掛、或網(wǎng)頁(yè)中,包含了可以控制用戶(hù)的計(jì)算機(jī)系統(tǒng)或通過(guò)郵件盜取用戶(hù)信息的惡意程序,可能造成用戶(hù)的系統(tǒng)被破壞、信息丟失甚至令系統(tǒng)癱瘓。
一、木馬的特性
特洛伊木馬屬于客戶(hù)/服務(wù)模式。它分為兩大部分,既客戶(hù)端和服務(wù)端。其原理是一臺(tái)主機(jī)提供服務(wù)(服務(wù)器端),另一臺(tái)主機(jī)接受服務(wù)(客戶(hù)端),作為服務(wù)器的主機(jī)一般會(huì)打開(kāi)一個(gè)默認(rèn)的端口進(jìn)行監(jiān)聽(tīng)。如果有客戶(hù)機(jī)向服務(wù)器的這一端口提出連接請(qǐng)求,服務(wù)器上的相應(yīng)程序就會(huì)自動(dòng)運(yùn)行,來(lái)答應(yīng)客戶(hù)機(jī)的請(qǐng)求。這個(gè)程序被稱(chēng)為進(jìn)程。
木馬一般以尋找后門(mén)、竊取密碼為主。統(tǒng)計(jì)表明,現(xiàn)在木馬在病毒中所占的比例已經(jīng)超過(guò)了四分之一,而在近年涌起的病毒潮中,木馬類(lèi)病毒占絕對(duì)優(yōu)勢(shì),并將在未來(lái)的若干年內(nèi)愈演愈烈。木馬是一類(lèi)特殊的病毒,如果不小心把它當(dāng)成一個(gè)軟件來(lái)使用,該木馬就會(huì)被“種”到電腦上,以后上網(wǎng)時(shí),電腦控制權(quán)就完全交給了“黑客”,他便能通過(guò)跟蹤擊鍵輸入等方式,竊取密碼、信用卡號(hào)碼等機(jī)密資料,而且還可以對(duì)電腦進(jìn)行跟蹤監(jiān)視、控制、查看、修改資料等操作。
二、木馬發(fā)作特性
在使用計(jì)算機(jī)的過(guò)程中如果您發(fā)現(xiàn):計(jì)算機(jī)反應(yīng)速度發(fā)生了明顯變化,硬盤(pán)在不停地讀寫(xiě),鼠標(biāo)不聽(tīng)使喚,鍵盤(pán)無(wú)效,自己的一些窗口在被關(guān)閉,新的窗口被莫名其妙地打開(kāi),網(wǎng)絡(luò)傳輸指示燈一直在閃爍,沒(méi)有運(yùn)行大的程序,而系統(tǒng)卻越來(lái)越慢,系統(tǒng)資源站用很多,或運(yùn)行了某個(gè)程序沒(méi)有反映(此類(lèi)程序一般不大,從十幾k到幾百k都有)或在關(guān)閉某個(gè)程序時(shí)防火墻探測(cè)到有郵件發(fā)出……這些不正?,F(xiàn)象表明:您的計(jì)算機(jī)中了木馬病毒。
三、木馬的工作原理以及手動(dòng)查殺介紹
由于大多玩家對(duì)安全問(wèn)題了解不多,所以并不知道自己的計(jì)算機(jī)中了“木馬”該怎么樣清除。因此最關(guān)鍵的還是要知道“木馬”的工作原理,這樣就會(huì)很容易發(fā)現(xiàn)“木馬”。相信你看了這篇文章之后,就會(huì)成為一名查殺“木馬”的高手了。(如果成不了高手建議大家用皮筋打斑竹家玻璃,嘿嘿)
“木馬”程序會(huì)想盡一切辦法隱藏自己,主要途徑有:在任務(wù)欄中隱藏自己,這是最基本的只要把Form的Visible屬性設(shè)為False。ShowInTaskBar設(shè)為False,程序運(yùn)行時(shí)就不會(huì)出現(xiàn)在任務(wù)欄中了。在任務(wù)管理器中隱形:將程序設(shè)為“系統(tǒng)服務(wù)”可以很輕松地偽裝自己。
A、啟動(dòng)組類(lèi)(就是機(jī)器啟動(dòng)時(shí)運(yùn)行的文件組)
當(dāng)然木馬也會(huì)悄無(wú)聲息地啟動(dòng),你當(dāng)然不會(huì)指望用戶(hù)每次啟動(dòng)后點(diǎn)擊“木馬”圖標(biāo)來(lái)運(yùn)行服務(wù)端,(沒(méi)有人會(huì)這么傻吧??)。“木馬”會(huì)在每次用戶(hù)啟動(dòng)時(shí)自動(dòng)裝載服務(wù)端,Windows系統(tǒng)啟動(dòng)時(shí)自動(dòng)加載應(yīng)用程序的方法,“木馬”都會(huì)用上,如:?jiǎn)?dòng)組、win.ini、system.ini、注冊(cè)表等等都是“木馬”藏身的好地方。通過(guò)win.ini和system.ini來(lái)加載木馬。在Windows系統(tǒng)中,win.ini和system.ini這兩個(gè)系統(tǒng)配置文件都存放在C:windows目錄下,你可以直接用記事本打開(kāi)??梢酝ㄟ^(guò)修改win.ini文件中windows節(jié)的“load=file.exe,run=file.exe”語(yǔ)句來(lái)達(dá)到木馬自動(dòng)加載的目的。此外在system.ini中的boot節(jié),正常的情況下是“Shell=Explorer.exe”(Windows系統(tǒng)的圖形界面命令解釋器)。下面具體談?wù)?ldquo;木馬”是怎樣自動(dòng)加載的。
1、在win.ini文件中,在[WINDOWS]下面,“run=”和“load=”是可能加載“木馬”程序的途徑,必須仔細(xì)留心它們。一般情況下,它們的等號(hào)后面什么都沒(méi)有,如果發(fā)現(xiàn)后面跟有路徑與文件名不是你熟悉的啟動(dòng)文件,你的計(jì)算機(jī)就可能中上“木馬”了。當(dāng)然你也得看清楚,因?yàn)楹枚?ldquo;木馬”,如“AOLTrojan木馬”,它把自身偽裝成command.exe文件,如果不注意可能不會(huì)發(fā)現(xiàn)它不是真正的系統(tǒng)啟動(dòng)文件。
通過(guò)c:windowswininit.ini文件。很多木馬程序在這里做一些小動(dòng)作,這種方法往往是在文件的安裝過(guò)程中被使用,程序安裝完成之后文件就立即執(zhí)行,與此同時(shí)安裝的原文件被Windows刪除干凈,因此隱蔽性非常強(qiáng),例如在wininit.ini中如果Rename節(jié)有如下內(nèi)容:NUL=c:windowspicture.exe,該語(yǔ)句將c:windowspicture.exe發(fā)往NUL,這就意味著原來(lái)的文件pictrue.exe已經(jīng)被刪除,因此它運(yùn)行起來(lái)就格外隱蔽。
2、在system.ini文件中,在[BOOT]下面有個(gè)“shell=文件名”。正確的文件名應(yīng)該是“explorer.exe”,如果不是“explorer.exe”,而是“shell=explorer.exe程序名”,那么后面跟著的那個(gè)程序就是“木馬”程序,就是說(shuō)你已經(jīng)中“木馬”了。
win.ini、system.ini文件可以通過(guò)“開(kāi)始”菜單里的“運(yùn)行”來(lái)查看。只要在“運(yùn)行”對(duì)話(huà)框中輸入“msconfig”,后點(diǎn)擊“確定”按鈕就行了。(這里大家一定要注意,如果你對(duì)計(jì)算機(jī)不是很了解,請(qǐng)不要輸入此命令或刪除里邊的文件,否則一切后果和損失自己負(fù)責(zé)。斑竹和本人不承擔(dān)任何責(zé)任。)
3、對(duì)于下面所列的文件也要勤加檢查,木馬們也可能隱藏在
C:\windows\winstart.bat和C:\windows\winnint.ini,還有Autoexec.bat
B、注冊(cè)表(注冊(cè)表就是注冊(cè)表,懂電腦的人一看就知道了)
1、從菜單中加載。如果自動(dòng)加載的文件是直接通過(guò)在Windows菜單上自定義添加的,一般都會(huì)放在主菜單的“開(kāi)始->程序->啟動(dòng)”處,在Win98資源管理器里的位置是“C:windowsstartmenuprograms啟動(dòng)”處。通過(guò)這種方式使文件自動(dòng)加載時(shí),一般都會(huì)將其存放在注冊(cè)表中下述4個(gè)位置上:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserS!hellFolders
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\UserShellFolders
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\ShellFolders
2、在注冊(cè)表中的情況最復(fù)雜,在點(diǎn)擊至:“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”目錄下,查看鍵值中有沒(méi)有自己不熟悉的自動(dòng)啟動(dòng)文件,擴(kuò)展名為EXE,這里切記:有的“木馬”程序生成的文件很像系統(tǒng)自身文件,想通過(guò)偽裝蒙混過(guò)關(guān),如“AcidBatteryv1.0木馬”,它將注冊(cè)表“HKEY-LOCAL-MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”下的Explorer鍵值改為Explorer=“C:\WINDOWS\expiorer.exe”,“木馬”程序與真正的Explorer之間只有“i”與“l”的差別。當(dāng)然在注冊(cè)表中還有很多地方都可以隱藏“木馬”程序,如:“HKEY-CURRENT-USER\Software\Microsoft\Windows\CurrentVersion\Run”、“HKEY-USERS\****\Software\Microsoft\Windows\CurrentVersion\Run”的目錄下都有可能,最好的辦法就是在“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到“木馬”程序的文件名,再在整個(gè)注冊(cè)表中搜索即可。
此外在注冊(cè)表中的HKEY_CLASSES_ROOT\exefile\shell\open\command=
“1”“*”處,如果其中的“1”被修改為木馬,那么每次啟動(dòng)一個(gè)該可執(zhí)行文件時(shí)木馬就會(huì)啟動(dòng)一次,例如著名的冰河木馬就是將TXT文件的Notepad.exe改成!了它自己的啟動(dòng)文件,每次打開(kāi)記事本時(shí)就會(huì)自動(dòng)啟動(dòng)冰河木馬,做得非常隱蔽。
注冊(cè)表可以通過(guò)在“運(yùn)行”對(duì)話(huà)框中輸入“regedit”來(lái)查看。需要說(shuō)明的是,對(duì)系統(tǒng)注冊(cè)表進(jìn)行刪除修改操作前一定要將注冊(cè)表備份,因?yàn)閷?duì)注冊(cè)表操作有一定的危險(xiǎn)性,加上木馬的隱藏較隱蔽,可能會(huì)有一些誤操作,如果發(fā)現(xiàn)錯(cuò)誤,可以將備份的注冊(cè)表文件導(dǎo)入到系統(tǒng)中進(jìn)行恢復(fù)。(次命令同樣很危險(xiǎn),如不懂計(jì)算機(jī)請(qǐng)不要嘗試。切記)
萬(wàn)變不離其宗,木馬啟動(dòng)都有一個(gè)方式,它只是在一個(gè)特定的情況下啟動(dòng)。所以平常多注意你的端口。一般的木馬默認(rèn)端口有
BO31337,YAL1999,Deep2140,Throat3150,冰河7636,Sub71243
在dos里輸入以下命令:netstat-an,就能看到自己的端口了,一般網(wǎng)絡(luò)常用端口有:21,23,25,53,80,110,139,如果你的端口還有其他的,你可要注意了,因?yàn)楝F(xiàn)在有許多木馬可以自己設(shè)定端口。(上面這些木馬的端口是以前的,由于時(shí)間和安全的關(guān)系現(xiàn)在好多新木馬的端口我不知道,也不敢去試,因?yàn)榧夹g(shù)更新的太快了,我跟不上了。55555555555555)
由于木馬的運(yùn)行常通過(guò)網(wǎng)絡(luò)的連接來(lái)實(shí)現(xiàn)的,因此如果發(fā)現(xiàn)可疑的網(wǎng)絡(luò)連接就可以推測(cè)木馬的存在,最簡(jiǎn)單的辦法是利用Windows自帶的Netstat命令來(lái)查看。一般情況下,如果沒(méi)有進(jìn)行任何上網(wǎng)操作,在MS-DOS窗口中用Netstat命令將看不到什么信息,此時(shí)可以使用“netstat-a”,“-a”選項(xiàng)用以顯示計(jì)算機(jī)中目前所有處于監(jiān)聽(tīng)狀態(tài)的端口。如果出現(xiàn)不明端口處于監(jiān)聽(tīng)狀態(tài),而目前又沒(méi)有進(jìn)行任何網(wǎng)絡(luò)服務(wù)的操作,那么在監(jiān)聽(tīng)該端口的很可能是木馬。
在Win2000/XP中按下“CTL+ALT+DEL”,進(jìn)入任務(wù)管理器,就可看到系統(tǒng)正在運(yùn)行的全部進(jìn)程,一一清查即可發(fā)現(xiàn)木馬的活動(dòng)進(jìn)程。
在Win98下,查找進(jìn)程的方法不那么方便,但有一些查找進(jìn)程的工具可供使用。通過(guò)查看系統(tǒng)進(jìn)程這種方法來(lái)檢測(cè)木馬非常簡(jiǎn)便易行,但是對(duì)系統(tǒng)必須熟悉,因?yàn)閃indows系統(tǒng)在運(yùn)行時(shí)本身就有一些我們不是很熟悉的進(jìn)程在運(yùn)行著,因此這個(gè)時(shí)候一定要小心操作,木馬還是可以通過(guò)這種方法被檢測(cè)出來(lái)
很多木馬病毒都是通過(guò)綁定在其他的軟件或文件中來(lái)實(shí)現(xiàn)傳播的,一旦運(yùn)行了這個(gè)被綁定的軟件或文件就會(huì)被感染,因此在下載的時(shí)候需要特別注意,一般推薦去一些信譽(yù)比較高的站點(diǎn)。在軟件安裝之前一定要用反病毒軟件檢查一下
1、來(lái)自網(wǎng)絡(luò)的攻擊手段越來(lái)越多了,一些帶木馬的惡意網(wǎng)頁(yè)會(huì)利用軟件或系統(tǒng)操作平臺(tái)等的安全漏洞,通過(guò)執(zhí)行嵌入在網(wǎng)頁(yè)HTML超文本標(biāo)記語(yǔ)言?xún)?nèi)的JavaApplet小應(yīng)用程序、javascript腳本語(yǔ)言程序、ActiveX軟件部件交互技術(shù)支持可自動(dòng)執(zhí)行的代碼程序,強(qiáng)行修改用戶(hù)操作系統(tǒng)的注冊(cè)表及系統(tǒng)實(shí)用配置程序,從而達(dá)到非法控制系統(tǒng)資源、破壞數(shù)據(jù)、格式化硬盤(pán)、感染木馬程序、盜取用戶(hù)數(shù)據(jù)資料等目的。
目前來(lái)自網(wǎng)頁(yè)的攻擊分為兩種:一種是通過(guò)編輯的腳本程序修改IE瀏覽器;另外一種是直接破壞Windows系統(tǒng)。前者一般會(huì)修改IE瀏覽器的標(biāo)題欄、默認(rèn)主頁(yè)或直接將木馬“種”在你的機(jī)器里等等;后者是直接鎖定你的鍵盤(pán)、鼠標(biāo)等輸入設(shè)備然后對(duì)系統(tǒng)進(jìn)行破壞。
(作者插言):還好目前盜取千年用戶(hù)名和密碼的“木馬”功能還僅僅是偷盜行為,沒(méi)有發(fā)展成破壞行為。要不然號(hào)被盜了,在順便把硬盤(pán)被格式化了。那樣想第一時(shí)間找回密碼就都沒(méi)可能。希望這種情況不要發(fā)生。(啊門(mén)我彌佗佛)
下邊是正題了,大家看仔細(xì)了!
假如您收到的郵件附件中有一個(gè)看起來(lái)是這樣的文件(或者貌似這類(lèi)文件,總之是特別誘人的文件,而且格式還很安全。):QQ靚號(hào)放送.txt,您是不是認(rèn)為它肯定是純文本文件?我要告訴您,不一定!它的實(shí)際文件名可以是QQ靚號(hào)放送.txt.{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}。
{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}在注冊(cè)表里是HTML文件關(guān)聯(lián)的意思。但是存成文件名的時(shí)候它并不會(huì)顯現(xiàn)出來(lái),您看到的就是個(gè).txt文件,這個(gè)文件實(shí)際上等同于QQ靚號(hào)放送.txt.html。那么直接打開(kāi)這個(gè)文件為什么有危險(xiǎn)呢?請(qǐng)看如果這個(gè)文件的內(nèi)容如下:
您可能以為它會(huì)調(diào)用記事本來(lái)運(yùn)行,可是如果您雙擊它,結(jié)果它卻調(diào)用了HTML來(lái)運(yùn)行,并且自動(dòng)在后臺(tái)開(kāi)始通過(guò)網(wǎng)頁(yè)加載木馬文件。同時(shí)顯示“正在打開(kāi)文件”之類(lèi)的這樣一個(gè)對(duì)話(huà)框來(lái)欺騙您。您看隨意打開(kāi)附件中的.txt的危險(xiǎn)夠大了吧?
欺騙實(shí)現(xiàn)原理:當(dāng)您雙擊這個(gè)偽裝起來(lái)的.txt時(shí)候,由于真正文件擴(kuò)展名是.{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B},也就是.html文件,于是就會(huì)以html文件的形式運(yùn)行,這是它能運(yùn)行起來(lái)的先決條件。
在某些惡意網(wǎng)頁(yè)木馬中還會(huì)調(diào)用“WScript”。
WScript全稱(chēng)WindowsScriptingHost,它是Win98新加進(jìn)的功能,是一種批次語(yǔ)言/自動(dòng)執(zhí)行工具——它所對(duì)應(yīng)的程序“WScript.exe”是一個(gè)腳本語(yǔ)言解釋器,位于c:\WINDOWS下,正是它使得腳本可以被執(zhí)行,就象執(zhí)行批處理一樣。在WindowsScriptingHost腳本環(huán)境里,預(yù)定義了一些對(duì)象,通過(guò)它自帶的幾個(gè)內(nèi)置對(duì)象,可以實(shí)現(xiàn)獲取環(huán)境變量、創(chuàng)建快捷方式、加載程序、讀寫(xiě)注冊(cè)表等功能。
在Windows系統(tǒng)中,勾子(hook)是一種特殊的消息處理機(jī)制。勾子可以監(jiān)視系統(tǒng)或進(jìn)程中的各種事件消息,截獲發(fā)往目標(biāo)窗口的消息并進(jìn)行處理。這樣,我們就可以在系統(tǒng)中安裝自定義的勾子,監(jiān)視系統(tǒng)中特定事件的發(fā)生,完成特定的功能,比如截獲鍵盤(pán)、鼠標(biāo)的輸入,屏幕取詞,日志監(jiān)視等等??梢?jiàn),利用勾子可以實(shí)現(xiàn)許多特殊而有用的功能。因此,對(duì)于高級(jí)編程人員來(lái)說(shuō),掌握勾子的編程方法是很有必要的。
大家知道了“木馬”的工作原理,查殺“木馬”就變得很容易,如果發(fā)現(xiàn)有“木馬”存在,最安全也是最有效的方法就是馬上將計(jì)算機(jī)與網(wǎng)絡(luò)斷開(kāi),防止黑客通過(guò)網(wǎng)絡(luò)對(duì)你進(jìn)行攻擊。然后在根據(jù)實(shí)際情況進(jìn)行處理。
看過(guò)“木馬電腦病毒介紹”人還看了:
2.電腦病毒木馬